Beveiligingsadviezen van het NCSC
De ontwikkelaars van PostgreSQL hebben een kwetsbaarheid verholpen in PostgreSQL. Gebleken is dat bepaalde commando's zoals Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER en pg_amcheck niet correct omgaan met rechten, waardoor een gebruiker deze commando's kan uitvoeren buiten de scope die is toegewezen aan het account. Hierdoor kan een kwaadwillende deze commando's misbruiken om databases te manipuleren waartoe hij niet geautoriseerd is. De kwaadwillende dient hiervoor wel voorafgaande toegang tot het systeem te hebben.
IBM heeft een kwetsbaarheid verholpen in Spectrum Protect Plus. Credentials van gebruikers worden in bepaalde gevallen in leesbare tekst afgedrukt in het IBM Spectrum Protect Plus virgo-logbestand.
In CakePHP versie 3.10.4 is een coderingsprobleem van CsrfProtectionMiddleware verholpen. In 3.10.3 werden geverifieerde tokens gegenereerd met behulp van willekeurige bytes en zouden vaak niet overeenkomen wanneer ze in HTML werden gerenderd.
Er zijn kwetsbaarheden verholpen in GitLab. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
Cross-Site Scripting (XSS)
Omzeilen van authenticatie
Omzeilen van beveiligingsmaatregel
Toegang tot systeemgegevens
Er is een 0Day kwetsbaarheid ontdekt in Atlassian Confluence Server en Confluence Datacenter. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren met rechten van de applicatie en zo ook toegang krijgen tot gevoelige gegevens binnen de scope van de getroffen installatie.
Er zijn kwetsbaarheden verholpen in Red Hat OpenShift Serverless Operator en Operator. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
Denial-of-Service (DoS)
Omzeilen van beveiligingsmaatregel
Er zijn kwetsbaarheden verholpen in de Intel BIOS van HPE ProLiant DX servers. De kwetsbaarheden in DX Gen 10 servers met kenmerken DX170r, DX190r, DX360, DX380, DX560 en DX4200 stellen een lokale kwaadwillende in staat gevoeligde informatie te verkrijgen of rechten te verhogen.
